Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 28
Dabei seit: 04 / 2019
Betreff:

Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 09.08.2019 - 15:24 Uhr  ·  #1
Hallo,

ist im Forum jemand dabei, der SCA in seinen HBCI/FinTS-Client einbauen muss? :-)

Es steht geschrieben...
FinTS_3.0_Security_Sicherheitsverfahren_PINTAN_2018-02-23_final_version.pdf
B.4.3.2 Initialisierung bei Prozessvariante 1
bzw.
B.4.3.3 Initialisierung bei Prozessvariante 2

"Vor dem allerersten Dialog mit dem Kreditinstitut bzw. falls die Informationen nicht vorliegen: Mit der Durchführung eines personalisierten Dialogs mit der Sicherheitsfunktion 999 erhält das Kundenprodukt mit dem Rückmeldungs-code 3920 alle für den Benutzer zugelassenen Ein- und Zwei-Schritt-Verfahren mitgeteilt. Eine UPD liegt zu diesem Zeitpunkt noch nicht vor. Dieser Dialog wird durch das Kundensystem mit einer Dialogendenachricht (HKEND) beendet."

Teilt jemand meine Interpretation, dass das somit auch für HKSYN gilt, welches ja ein eigens definierter Dialog ist ohne Geschäftsvorfälle die da noch mitgesendet werden können? Dennoch ist es ein Dialog mit einer Dialog-Initialisierung?

Mein bisher vorgesehener Ablauf z.B. bei Neuanlage einer Bank-Verbindung:

1. HKSYN mit Sicherheitsverfahren 999 (ohne Zweischritt) im Modus 0
--> liefert (nicht-SCA-)BPD und Kundensystem-ID und auch gleich die zugelassenen Zweischrittverfahren.

2. Wird HKTAB geboten, dann Abruf der TAN-Medien (HKTAB). Dialog-Init mit HKTAN#6 und Segmentname "HKTAB" in HKTAN und "irgendwas" als TAN-Mediumsname, falls dieser laut BPD verpflichtend ist. SCA wird damit vermieden, dennoch Einstellung des vom Kunden gewählten TAN-Verfahrens, also kein 999.
--> TAN-Medien werden geliefert, wenn vorhanden

3. Nun Abruf von HKSPA (SEPA-Konten). Kunde muss Zweischrittverfahren und ggf. TAN-Medium gewählt haben. UPD-Version 0, BPD-Version 0
--> ggf. zündet hier ein SCA, Kunde muss dann TAN eingeben
--> UPD wird geliefert
--> SCA-BPD wird geliefert (wo dann bspw. Umsatzabrufe und Saldenabrufe TAN-pflichtig sind)

... weitere GVs, je nach Geschmack.

Wichtig ist mir, dass der erste Schritt von allen Serversystemen trotz SCA weiter so durchgelassen wird. Was meint Ihr? Müsste doch passen, oder?
Auch bisher ist HKSYN mit 999 immer möglich bei PIN/TAN, weil man sonst nie eine Kundensystem-ID bekäme.

Danke!
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 217
Dabei seit: 12 / 2005
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 09.08.2019 - 17:10 Uhr  ·  #2
Zitat geschrieben von bowser

ist im Forum jemand dabei, der SCA in seinen HBCI/FinTS-Client einbauen muss? :-)


Ja ich.
Ich hänge aktuell mit Meldung "falscher Segmentaufbau" wenn ich die erhaltene TAN senden will.
Da stochere ich jetzt schon 2 Tage lustlos rum.

Hat zwar nicht mit deinen Schilderungen zu tun, aber diese werde ich mir nachher mal genaustens ansehen.
Mir wäre am liebsten ich könnte mich mal irgendwo mit jemanden zusammensetzen um das Thema zu "schlachten"
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 96
Dabei seit: 04 / 2012
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 11.08.2019 - 02:03 Uhr  ·  #3
Zitat geschrieben von bowser

Wichtig ist mir, dass der erste Schritt von allen Serversystemen trotz SCA weiter so durchgelassen wird. Was meint Ihr? Müsste doch passen, oder?
Auch bisher ist HKSYN mit 999 immer möglich bei PIN/TAN, weil man sonst nie eine Kundensystem-ID bekäme.

Danke!


Ja das sollte so funktionieren. Hksyn und 999 Dialoge werden ohne SCA durchgelassen und beantwortet mit 3920 und ggf Kundensystem ID. (Kann nur für Sparkassen reden)

Nach deinem 2. Schritt willst du dann hkspa schicken und erwartest eine SCA TAN. Die bekommst du auch aber nicht für den hkspa sondern schon für die neue HKVVB.
Denn nach dem Dialog den du für den HKTAB aufgemacht hast und für den du eine SCA Ausnahme bekommen hast nach Anmeldung des GVs im HKTAN6 darf der Dialog nicht weiter genutzt werden.
Wenn du im HKTAN6 was anderes als HKIDN einstellst ist das ein SCA Ausnahme Dialog der nur für diesen GV genutzt werden darf und dann wieder geschlossen werden muss.
Also machst du dann HKVVB mit HKTAN6 und HKIDN und bekommst dann deine SCA TAN. Und dann kannst du zb hkspa schicken wenn du den wirklich brauchst.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 96
Dabei seit: 04 / 2012
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 11.08.2019 - 02:05 Uhr  ·  #4
Zitat geschrieben von kontex

Zitat geschrieben von bowser

ist im Forum jemand dabei, der SCA in seinen HBCI/FinTS-Client einbauen muss? :-)

Ich hänge aktuell mit Meldung "falscher Segmentaufbau" wenn ich die erhaltene TAN senden will.
Da stochere ich jetzt schon 2 Tage lustlos rum.

Mir wäre am liebsten ich könnte mich mal irgendwo mit jemanden zusammensetzen um das Thema zu "schlachten"


Was schickst du denn? Hast du ein Log dann kann vielleicht jemand was zu sagen. Gegen wen schickst du das ganze denn?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 28
Dabei seit: 04 / 2019
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 12.08.2019 - 08:09 Uhr  ·  #5
Danke für die Rückmeldungen. Ja, nach HKTAB wird der Dialog geschlossen. Bank schickt dann 9800 und ich mache zu und ich mache auch selber zu, wenn sie es nicht tut.
Und auf die Sparkassen kam es mir an, denn die F-IT will mir (im Gegensatz zu früher) keinen Testzugang mehr geben :-(

@Kontex: wie Offlinebanker schrieb... schicke mal ein Log.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 217
Dabei seit: 12 / 2005
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 12.08.2019 - 08:26 Uhr  ·  #6
Zitat geschrieben von bowser

@Kontex: wie Offlinebanker schrieb... schicke mal ein Log.


Hat sich erledigt.
Bei der ganzen rumprobiererei "Muss ich die Verbindung während der TAN-Eingabe" schließen oder nicht, habe ich mich vertan und immer mit "NachrichtenNr=1" angefangen, obwohl jetzt aktuell die Verbindung nicht geschlossen wird.
Hab ich beim hin-und-her übersehen.

Dafür neues Problem:
Nach der Umsatz-Abfrage HKCAZ
- erhalte ich keine Ümsätze
- kommte Meldung "0030 Auftrag empfangen Sicherheitsfreigabe erforderlich ..."
- und eine weitere smsTAN kommt auf mein Handy mit der Bezeichnung "TAN für Bestandsabfrage lautet #####"

*Bestandsabfrage* - noch nie gehört von dem Thema
Bisher wurden bei einem neuen Bankzugang immer alle verfügbaren Umsatz genauso wie aktuelle Umsätze komplett abgerufen:
(bei Sparkassen immer komplette Jahre, bei VB/RB meist nur die letzten 180 Tage)
Muss ich mich erstmal belesen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 28
Dabei seit: 04 / 2019
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 12.08.2019 - 08:37 Uhr  ·  #7
Auch Umsätze sind mit PSD2 prinzipiell TAN-pflichtig. Das heißt, Du musst eine Challenge dafür anfordern und den Kunden die TAN eingeben lassen, wie bei einer Überweisung.
TAN-pflichtig sind sie mindestens dann, wenn sie mehr als 90 Tage in die Vergangenheit reichen.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 217
Dabei seit: 12 / 2005
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 12.08.2019 - 08:59 Uhr  ·  #8
Zitat geschrieben von bowser

Auch Umsätze sind mit PSD2 prinzipiell TAN-pflichtig. Das heißt, Du musst eine Challenge dafür anfordern und den Kunden die TAN eingeben lassen, wie bei einer Überweisung.
TAN-pflichtig sind sie mindestens dann, wenn sie mehr als 90 Tage in die Vergangenheit reichen.


Das ist klar.
Das man eine *zweite* TAN benötigt wenn Umsätze >=90 Tage vorliegen ist mir neu
Hab doch schon die *erste* TAN eingegeben.

Man kann auch übertreiben

Danke für die Erläuterung <Neuland/>

PS:
Bin ja mal gespannt welcher Aufschrei ab 14.09. kommt wenn die Masse der Benutzer erfährt das für reine Umsatzabfragen TANs erforderlich sind, und wenn die ganzen automatisierten Abrufe reihenweise stehen bleiben.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 28
Dabei seit: 04 / 2019
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 12.08.2019 - 09:14 Uhr  ·  #9
Die "erste" TAN gilt nur für die "allgemeine" SCA per Dialog-Init, damit Du überhaupt irgendwas darfst, das mit Zahlungsverkehrskonten zu tun hat (z.B. die Kontonumer überhaupt erfahren). Die ist alle 90 Tage mindestens einmal nötig, demnach nicht bei jedem Umsatzabruf. Rufst Du dann mehr als 90 Tage Umsätze ab, muss eine TAN her.

PSD2 ist im Bezug auf SCA und die anderen definierten "Schutzmechanismen" absolut schräg. Angeblich alles zum Schutz der Verbraucher. Aber ich höre mal lieber an dieser Stelle auf, denn sowohl die PDS2-Vorgaben (, das damit verbundene Rückfragen-Chaos bei BaFin & Co) und dann noch die grausige Abbildung auf HBCI/FinTS-Ebene führen bei mir regelmäßig zu steigendem Blutdruck :-)
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Fritzlar
Beiträge: 217
Dabei seit: 12 / 2005
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 12.08.2019 - 09:37 Uhr  ·  #10
Zitat geschrieben von bowser

und dann noch die grausige Abbildung auf HBCI/FinTS-Ebene führen bei mir regelmäßig zu steigendem Blutdruck :-)


Zustimmung.
Allerdings hatte ich mir nach meinem Schlaganfall vor 12 Jahren (gut ausgegangen) vorgenommen mich über nichts mehr aufzuregen.
Und fahre gut damit.
(Allein die TLS 1.2-Konfigurationen vor 2 Wochen haben uns 2.500,00 EUR Service-Umsatz gebracht, pöhse EU)

Kannst du mir zufällig noch sagen wo in den HBCI-Dokumenten das mit den 90-Tage-alten-Umsätzen beschrieben ist.
Du sagst ja "grausig" und ich hatte anderswo schon geschrieben "blicke nicht durch, sehr ungeeignet einen Überblick zu bekommen"
(Kapitel B.3 Starke Kundenauthentifizerung liegt ausgedruckt neben mir)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 28
Dabei seit: 04 / 2019
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 12.08.2019 - 09:48 Uhr  ·  #11
Darüber, wann eine TAN erforderlich ist, gibt HBCI/FinTS keine Auskunft. Dort wurden nur Möglichkeiten geschaffen, dass man (als Server) prinzipiell für alles eine TAN vom Client fodern kann, das mit ZV-Konten, Buchungen & Co zu tun hat.
Das mit den 90 Tagen findest Du irgendwo in den PSD2-Richtlinien. Kann Dir leider auch nicht sagen, wo genau. Das wurde bei uns durch jemanden ausgearbeitet, der sich monatelang damit befasst hat.

"Schlaganfall"... oh, das muss man nicht haben. Dann bleib besser mal entspannt!
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 96
Dabei seit: 04 / 2012
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 14.08.2019 - 20:38 Uhr  ·  #12
Zitat geschrieben von bowser

Und auf die Sparkassen kam es mir an, denn die F-IT will mir (im Gegensatz zu früher) keinen Testzugang mehr geben :-(


Hast du noch einen von früher?
Sorry, aber das ist eine in meinen Augen unsinnige Entscheidung die Testsysteme gegen Zugriffe von außen abzuschotten. Falls du eine statische IP range deines Unternehmens hast könntest du versuchen die freischalten zu lassen. Für wen (welches Produkt) arbeitest du?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7719
Dabei seit: 08 / 2002
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 14.08.2019 - 20:53 Uhr  ·  #13
Bedenkt bei der ganzen 90-Tage Thematik: Die Kunden können diese selbst abschalten (lassen).

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 96
Dabei seit: 04 / 2012
Betreff:

Re: Frage zu SCA und HKSYN bzw. allgmeines Einrichten eines Bankzugangs

 · 
Gepostet: 14.08.2019 - 22:26 Uhr  ·  #14
Zitat geschrieben von Raimund Sichmann

Bedenkt bei der ganzen 90-Tage Thematik: Die Kunden können diese selbst abschalten (lassen).

Gruß
Raimund


Bei uns nicht. Die Sparkasse bzw der Kunde hat nur Einfluss auf die TAN Ausnahmen für Zahlungen. Die mit 90 Tagen (Login und Umsätze) sind immer an.
Gewählte Zitate für Mehrfachzitierung:   0